barre de navigation Victoire
nav bar recap admins
|
Bien souvent, les
responsables des sites dont nous parlons dans cette rubrique expliquent qu'accéder au
contenu des répertoires n'est pas quelque chose de grâve. Pour le patron de Ze Bank par
exemple, il s'agit en fait d'un plan façon paparazzi... Voyez-vous cela... Pour victoire, cela n'est rien d'autre qu'un bon moyen de
hacker des serveurs. Pour la banque Wormserveurs. Pour la banque Worms, hébergée par victoire, cela n'est rien de
plus qu'un moyen de publier des communiqués de presse sur le serveur...
Etant de simple hackers de pizza , l'equipe de
Kitetoa se propose donc de vous
donner un petit exemple d'un hack de pizza grâce a "?Pageservice" sous les
serveurs oueb
Netscape ( Netscape Enterprise Server ) et les conséquences d'un listing de
répertoire ...
Reprenons tout du début :
Jeudi 18 Mai :
Un membre de Kitetoa découvre qu'un grand site de transactions boursières est
vulnérable au listing de directory grâce au bug de "?Pageservice" décrit
depuis longtemps
dans le forum de bugtraq ( www.Securityfocus.com
) .
Votre serviteur se précipite alors sur ses simples petits outils et découvre que le
développeur de ce site n'est autre que Victoire ( www.victoire.fr
) et que ,
quel hasard, ce site est également vulnérable !
Vendredi 19 :
Une journée de visite (surf) sur le site de Victoire.
Qu'apprend-on grâce a ce bug , grâce, en fait, à de simples clics de souris ?
L'architecture du réseau de victoire.fr :
éseau de victoire.fr :
Grâces a 2 fichiers 'core' ( ce sont les fichiers d'images mémoire qui sont
créés lors d'un plantage de programme ) je peux définir le réseau de
victoire.fr comme suit :
un réseau public sous le domaine : victoire.fr et victoire.com
un INTRANET ( développement & administration ) sur l'ip : 172.27.16.*
Voici un extrait de ce fichier core :
"GU@@@G@@@@@@@@fichedetail.html@HTTP_CONNECTION=Keep-Alive@HTTP_USER_AGENT=Mozilla/4.5
[fr] (Win95; I)@HTTP_HOST=172.27.16.158:8088@HTTP_ACCEPT=image/gif,
image/x-xbitmap, image/jpeg, image/pjpeg, image/png,,
*/*@HTTP_ACCEPT_ENCODING=gzip@HTTP_ACCEPT_LANGUAGE=frHTTP_ACCEPT_CHARSET=iso-
8859-1,*,utf-8@PATH=/usr/bin:/usr/sbin:/usr/local/bin::/docs/cache/bourse:/docs/cache/acl:@TZ=
WET@SERVER_SOFTWARE=Netscape-Enterprise/3.6SP1@SERVER_PORT=8088@SERVER_NAME=
jesus.int.victoire.fr@SERVER_URL=http://172.27.16.158:8088@REMOTE_HOST=172.27.16.45@REMOTE_ADDR=
172.27.16.45@HTTPS=OFF@GAME=/pgm/fichedetail.html@SUNW,Ultra-1@/docs/web/doc/
wb@172.27.16.45/cgi-bin/nsapi/fichedetail.html@@@@@@@@
"
Rien qu'une simple requête HTTP :)
mais qui nous en apprends beaucoup :
1 Si il y a
1 Si il y a un fichier core , c'est que la plupart du temps il y a eu un
signal SIGSEGV, ce qui signifie que peut-être un des fichiers CGI est
buggé ( qui sait ? Peut être est-il exploitable par un méchant h4ck3r)
2 On a un simple petit listing du réseau interne de victoire avec , le
nom du serveur : jesus.int.victoire.fr , les ips utilisees : 172.27.16.158
et 172.27.16.45
3 Une identification d'OS : on peut par exemple savoir que la machine
172.27.16.45 est une machine Windows 95 et que le serveur au doux nom de
jesus est un serveur Sun grâce a : "SUNW,Ultra-1"
A ce stade , je pressent que cette entreprise fera un jour partie,
en bonne place, de la grande famille des "admins fou fou fou" ,
peut-être même
avec un mention spéciale , mais ce que j'allais découvrir plus tard me fit
penser a créer une autre rubrique : "des admins fou fou fou qui devraient
tout arrêter avant la cata"
Continuons donc notre investigation :
Le deuxième fichier 'core' devait m'apprendre les différents services
utilises dans le réseau victoire.fr , et bien sur tout cela grâce a un
simple browser :
"@@@ Public Kebsp; Public Key : @@Diffie-Hellman (%d bits)
@@@RSA (%d bits)
@@None.
@@Unknown (type = %d, bits = %d)
@ Universal addresses (%d)
@@ [%d] - %s, %s, %s
@Name : '%s'
@@@@Type : @NIS
@@@@YP
@DNS
@@@@%d
@Master Server :"
Oh ! Magnifique , un système d'encryption ( qui ne marche peut-être pas si
il est répertorie dans un core ) et un système NIS "Yellow pages " ,tout
cela sous Sun , oblige, ils utilisent un NIS+, ce qui me fait penser que le
premier utilisateur dans une machine victoire.fr n'aura qu'a lancer une simple
commande du style : "ypcat passwd" pour avoir le fichier passwd
(peut-être shadow mais qui sait ? )
Un grand "Bravo" pour l'administration interne .
bon ,continuons , qu'est-ce qui a fait planter ces 2 programmes ?
qui est ce vilain monsieur 172.27.16.45 qui se permet de planter des cgis ?
Une partie de la réponse est la :
"@SCRIPT_NAME=/doc/cgi_commun_bourse/paieabondoc@QUERY_STRING=paiement=cheq@"
Et voila ,le programme "paieabondoc" ne marche peut-être pas , surtout avec un
paiement par cheque ...
Je me décide donc a regarder tout les fichiers cgi , mer tout les fichiers cgi , malheureusement , ce
sont des fichiers compile sous Sun SPARC , il m'a donc été impossible de les
debugger et tester (n'ayant pas les moyens de me payer une machine SPARC ) ,
je me tourne alors vers les fichier .pl qui sont présent sur une des
machines de victoire.fr :
Le premier fichier contenait :
"
$v_email =$cgi->param('email') || '';
$v_civil =$cgi->param('civil') || '';
$v_nom =$cgi->param('nom')
|| '';
$v_prenom =$cgi->param('prenom') || '';
$v_age =$cgi->param('age')
|| '';
$v_profession=$cgi->param('profession')|| '';
$v_adresse =$cgi->param('adresse') || '';
$v_telephone =$cgi->param('telephone') || '';
$v_fax =$cgi->param('fax')
|| '';
$v_email =$cgi->param('email') || '';
$v_ident =$cgi->param('ident') || '';
$v_passe&n'';
$v_passe =$cgi->param('passe') || '';
$v_confirm =$cgi->param('passe2') || '';
$v_comment =$cgi->param('commentaires')|| '';
"
Ha ben tiens donc , voila des informations intéressantes ...
"
$filedes='|/bin/mail -s "Ordre d'achat impressionniste" nart@nart.fr';
open (MAIL,$filedes) || die "No mailer $!\n";
"
holà , toutes ces informations sont envoyées par mail a nart@nart.fr
, et
l'encryption des données me direz-vous ? et bien je ne pense pas qu'ils
connaissent a victoire .
mais quel est donc le sujet de ce mail ?
réponse :
"print MAIL <<EOT;
Subject: Message de demande de transaction ($v_email)"
une transaction :)
Je suis sur que quelque part on doit vous dire que les transactions sont
sécurisées ,crypte et tout et tout , on voit le résultat .
bon changeons de fichier perl ,
je tombe sur un autre fichier de transactions , beaucoup plus intéressant
que le premier :
"$v_ident =$cgi->param('ident') >param('ident') ||
'';
$v_passe =$cgi->param('passe') || '';
$v_Amex =$cgi->param('Amex') || '';M
$v_CBVISA =$cgi->param('CBVISA') || '';M
$v_Eurocard =$cgi->param('Eurocard') || '';M
$v_Dinners =$cgi->param('Dinners') || '';M
$v_JCB =$cgi->param('JCB') || '';M
$v_code =$cgi->param('code') || '';M
$v_mois =$cgi->param('mois') || '';M
$v_cheque =$cgi->param('cheque') || '';M
"
youpi ! Des numéros de cartes se dira le "Evil hacker de la mort" (que je ne
suis pas)!
Le tout envoyé comme d'habitude a nart@nart.fr
"$filedes='|/bin/mail -s "Commande Escalier d'argent" nart@nart.fr';
open (MAIL,$filedes) || die "No mailer $!\n";
"
Je cherche un peu plus loin , y a-t-il une fonction de cryptage ?
Non .
Je suis sur que les personnes qui ont déjà commandé se sentent rassurées par
la sécurité optimale de ces transactions .
Le destinataire (www.nart.fr) est-il sécurisé ?
la réponse est malheureusement non .
je décide de jeter un coup d'oeil a cette machine , après un rpcinfo :
je reçois cette liste :
300019 1 tcp 672 amd
300019 1 udp 673 amd
Je découvre ainsi que cette machine présente un daemon connu pour être vulnérable
a un "remote exploit", une attaque distante, permettant d'avoir un accès
super-utilisateur .
cet exploit est public ( ftp://ADM.freelsd.net) et
date d'il y a plus d'un an.
N'importe quel script Kiddie pourrait donc avoir le listing des transactions de victoire !
Voila comment grâce a un simple "?Pageservice" et quelques notions de
"Sandwich & Pizza hacking " un
script-kiddy pourrait ennuyer les Administrateurs réseaux de victoire.fr :)
Kitetoa
|